Департаментом в сфері захисту персональних даних Секретаріату Уповноваженого Верховної Ради України з прав людини проводиться низка перевірок дотримання вимог захисту персональних даних під час функціонування електронної системи охорони здоров’я.

Так, перевірено Національну службу охорони здоров’я України, державне підприємство «Електронне здоров’я», ТОВ «ХЕЛСІ ЮА», Комунальне некомерційне підприємство «Центр первинної медико-санітарної допомоги Печерського району», Комунальне некомерційне підприємство «Центр первинної медико-санітарної допомоги «Русанівка» Дніпровського району м. Києва».

За результатами перевірок встановлено, що під час функціонування електронної системи охорони здоров’я неправильно застосовується законодавство в сфері захисту персональних даних.

Так, власники електронних медичних інформаційних систем збирають персональні дані пацієнтів, в тому числі медичні дані, відбираючи згоду суб’єкта персональних. Така згода відбирається або під час звернення суб’єкта персональних даних до закладу охорони здоров’я та укладанні декларації із лікарем, або під час реєстрації в електронній медичній інформаційній системі, зокрема, для того, щоб записатись на прийом до лікаря. В першому випадку згода надається шляхом проставляння відмітки в електронній формі під час підписання декларації. Як встановлено під час перевірок – в закладах охорони здоров’я не завжди повідомляють про надання згоди суб’єкта персональних даних, проставляючи згоду самостійно замість пацієнта і без його відома. Крім того, в такому випадку пацієнт не повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом України «Про захист персональних даних», мету збору персональних даних та осіб, яким передаються його персональні дані. Таким чином, пацієнт позбавляється можливості реалізації та захисту своїх прав як суб’єкта персональних даних.

В другому випадку згода надається безпосередньо під час реєстрації суб’єкта персональних даних в електронній медичній інформаційній системі. В такому випадку надання згоди є обов’язковим, що не відповідає вимогам законодавства. Під час наданні згоди суб’єкт персональних даних повідомляється про мету збору персональних даних. Проте, під час проведення перевірок встановлено, що деякі власники медичних інформаційних систем неправильно визначають мету обробки персональних даних та відносини із закладами охорони здоров’я щодо обробки персональних даних пацієнтів.

Так, власник медичної інформаційної системи має обробляє персональні дані пацієнта з метою закладу охорони здоров’я і виступає в такому випадку розпорядником персональних даних, на що згода суб’єкта персональних даних не потрібна.

Проте, власники медичних інформаційних систем відбирають згоду суб’єктів персональних даних з метою обробки персональних даних закладу охорони здоров’я, а свою власну мету обробки персональних даних зазначають занадто загально. Внаслідок чого пацієнт надаючи згоду на обробку персональних даних не знаю на що він фактично погоджується.

 За результатами перевірок Національній службі здоров’я України рекомендовано доопрацювати Технічні вимоги до електронної медичної інформаційної системи для її підключення до центральної бази даних електронної системи охорони здоров’я, затверджені наказом НСЗУ від 06.02.2019 № 28, ТОВ «ХЕЛСІ ЮА» рекомендовано доопрацювати документи та привести у відповідність до законодавства в сфері захисту персональних даних відносини ТОВ «ХЕЛСІ ЮА» як розпорядника персональних даних пацієнтів закладів охорони здоров’я із закладами охорони здоров’я, з якими укладено договір про надання послуг користування інформаційно-телекомунікаційною системою «HELSI», та припинити отримувати згоду суб’єктів персональних даних на обробку персональних даних, володільцем яких є заклад охорони здоров’я.

З метою з’ясування усіх обставин обробки персональних даних власниками медичних інформаційних систем плануються додаткові перевірки.